В директиве "SystemCallFilter=" добавлена возможность использования предопределённого набора фильтров системных вызовов, что значительно упрощает настройку и позволяет управлять фильтрацией на уровне групп, а не отдельных системных вызовов.
Права пользователей и групп — это слишком запутанно. Нужно что-то новое!
Для приёма DNS-запросов systemd-resolved теперь прикрепляется к локальному IP 127.0.0.53:53...
Мы переизобрели resolvconf+pdnsd!
В юнитах ".timer" добавлена возможность определения диапазонов времени с использованием синтаксиса "..". Например, "5..7:10" можно использовать для создания таймера, вызываемого каждый день в 5:10, 6:10 и 7:10;
Мы переизобрели crontab!
В сервисных юнитах добавлена возможность переопределения привилегий через указание спецсимволов в первом аргументе директивы "ExecXYZ=". Например, при указании символа "+" команда будет запущена с полными привилегиями, независимо от значений, выставленных в таких опциях, как "User=", "Group=" и "CapabilityBoundingSet="
Сделать ДЫРИЩУ всего одним символом — разве это не прекрасно?
В systemd-logind по умолчанию после выхода пользователя обеспечено принудительное завершение процессов, запущенных в составе пользовательского сеанса. Управлять принудительным завершением можно через опцию "KillUserProcesses=" в logind.conf, которая теперь выставлена в значение "yes" по умолчанию, что требует отдельных настроек, если необходимо сохранить работу длительно выполняемых пользовательских процессов (для работы screen и tmux требуется специальная настройка сервисов, например, включение "lingering" через loginctl).
systemdпоцтеринг
Перевожу на понятный язык нововведения в systemd 229:
Лимит RLIMIT_CORE по умолчанию установлен в значение "unlimited" для процесса PID 1 и всех его потомковsystemd падает настолько часто, что нам нужны полные дампы.
Извлечение данных трассировки стека (stacktrace) из core-дампа процессов системных пользователей теперь производится от имени отдельного пользователя "systemd-coredump", что снижает риск, связанный с возможными проблемами безопасности в коде разбора core-дампов.Отдельные пользователи и процессы — это. оказывается, удобно.
В большинство утилит systemd добавлена поддержка переменой окружения $SYSTEMD_COLORS, при установке которой в 0 отключается поддержка цветного вывода на терминалах, поддерживающих ANSI-цветаДа, мы поняли, что заебали вас цветами.
В systemd-nspawn добавлена опция "--as-pid2" для запуска в контейнере произвольной команды под PID 2 вместо PID 1, при этом под PID 1 запускается минимальная init-прослойка с реализаций обработчиков сигналов и управления дочерними процессамиМы поняли, что init должен быть маленьким и тупым.
Для отключения таймаутов в systemd теперь предлагается указывать значение "infinity" вместо "0". По новым правилам "0" ассоциирован со значением "сейчас", в то время как "infinity" воспринимается как "никогда". Для обеспечения совместимости все ранее присутствующие настройки таймаутов продолжат прежнюю трактовку установки в "0"Мы облажались, но теперь, чтобы сохранить обратную совместимость, 0 будет значить в разных местах разное.
